IT-Sicherheitsrichtlinie von KBV und KZBV: Ab 01.04.2021 in Kraft!

Sind Sie als Arzt oder Zahnarzt tätig?

Dann sind Sie von neuen der Richtlinie zur IT-Sicherheit in der vertrags(zahn)ärztlichen Versorgung betroffen.

Ab dem 01. April 2021 gelten die Anforderungen der IT-Sicherheitsrichtlinie zur Sicherstellung des Umgangs mit personenbezogenen Daten in Praxen. Die Anforderungen gelten für alle praktizierenden Vertragsärzte und -zahnärzte unabhängig davon ob sie selbständig oder als Angestellte tätig sind und haben den Rang eines Gesetzes.

Was bedeutet das für Sie und Ihre Praxis? 

Die Richtlinie stellt umfangreiche Anforderungen an alle mit der Verarbeitung von Patientendaten beschäftigten Mitarbeiter einer Praxis. Unglücklicherweise sind die Inhalte der Richtlinie nicht selbsterklärend und widersprechen sich an vielen Stellen gegenseitig.

Dies stellt jede Praxis und ihre Mitarbeiter vor erhebliche fachliche, technische und rechtliche Herausforderungen bei der Interpretation, Anwendung und Umsetzung der Vorgaben.

Wie können wir Sie bei der Umsetzung unterstützen?

Gemeinsam mit ausgewiesenen Spezialisten aus den Bereichen Praxisorganisation, IT und Recht entwickeln wir die notwendigen Dokumente, Checklisten und Verfahren, um die Anforderungen der Richtlinie für Ihre Praxis und Ihre IT-Betreuer zu erfüllen.

Dabei ordnen wir die fachlichen, technischen und juristischen Anforderungen des Richtlinientextes aus Sicht der Praxis ein.

Unser Ziel ist es dabei Sie durch eine optimale Aus- und Vorbereitung bestmöglich zu unterstützen, Ihnen Aufwand zu ersparen und Ihnen ein Höchstmaß an Sicherheit zu geben, um alle Vorgaben zu erfüllen.

Das bieten wir

Unser Angebot umfasst neben der Bereitstellung der erforderlichen Dokumentation ein umfassendes Schulungsangebot für Ihre Mitarbeiter rund um das Thema IT-Sicherheit und Datenschutz.

Mithilfe unserer Plattform rund um das Thema IT-Sicherheit und E-Learning machen Sie Ihre Mitarbeiter und Ihre Praxis fit für die aktuellen Anforderungen und bleiben auch für zukünftige Herausforderungen immer auf dem neuesten Stand.

Unser Netzwerk, Ihre Experten!

IT-Sicherheit in der Praxis stellt eine enorme Herausforderung dar und erfordert eine breit aufgestellte Expertise aus den Anwendungsbereichen IT, Recht und Praxisorganisation. Gemeinsam stellen wir uns dieser Herausforderung in einem starken Team:

Dr. Robert Kazemi

Dr. Robert Kazemi ist Rechtsanwalt und Partner der Kanzlei Kazemi & Partner Rechtsanwälte aus Bonn. Er berät und publiziert vor allem auf den Gebieten des Datenschutz-, des IT- und des IP-Rechts sowie im Medizinrecht und ist hier sowohl außergerichtlich, gerichtlich, wie auch als Autor und Vortragender deutschlandweit aktiv.

Matthias Lachmann

Mit 20 Jahren Erfahrung in der Softwarebranche, bei Medienhäuser und in weiteren Branchen ist Matthias Lachmann Spezialist für agile Methoden, um Innovationspotential zu heben. Als Managementberater unterstützt er bei Analyse, Entwicklung und Durchführung von Transformations- und Migrationsprojekten. Als Interim Manager begleite er den Aufbau auch vor Ort.

Dr. Fabian Göckler

Zahnarzt bei ZAHNÄRZTEMG sowie Geschäftsführer und Gründer der rose GmbH

Studium der Zahnmedizin an der RWTH-Aachen und Masterstudium in International Economic Studies mit Studienorten in Maastricht, Oslo und Washington

Unser Informations-Newsletter

Weitere Informationen über die Entwicklung unseres Angebots erhalten Sie über unseren Informations-Newsletter, zu dem Sie sich hier anmelden.

Warum sollen Sie sich Unterstützung holen - FAQ

Ja. Als Vertrags(zahn)arzt sind die Anforderungen der IT-Sicherheitsrichtlinie für Sie verbindlich (§ 75b Abs. 4 SGB V). Die Richtlinie unterscheidet bei den Anforderungen indes zwischen verschiedenen Praxisgrößen. Unter welche Kategorie Sie fallen, ist nicht so einfach zu beantworten (s. welche Anforderungen muss ich beachten).

Die Richtlinie kennt die „Praxis“ als kleinste Organisationsform. Diese muss die Anforderungen nach Anlage 1 und 5 der Richtlinie erfüllen. Eine Praxis zeichnet sich dadurch aus, dass ständig nicht mehr als 5 Personen mit der Datenverarbeitung beschäftigt sind. 

Es wird von Personen gesprochen, d.h. es kommt tatsächlich auf die „Köpfe“ und nicht auf den Umfang ihrer Tätigkeiten. Auch eine Helferin, die nur ein Mal pro Woche für eine Stunde in der Praxis am Empfang sitzt, ist als Person zu berücksichtigen. 

Das Tatbestandsmerkmal stellt auf die Intensität der Datenverarbeitung ab. 

Wir beantworten Ihre Fragen:

  • Ab wann erreicht die Datenverarbeitung die Qualität des Ständigen? 
  • Ist meine Mitarbeiterin, die nur ein Mal in der Woche für eine Stunde am Empfang sitzt ebenfalls zu berücksichtigen?

Anders als das BDSG nimmt der Richtlinientext allgemein auf die Datenverarbeitung Bezug, ohne den Begriff genauer zu definieren. Es gibt also keine konkrete Beschränkung auf die Verarbeitung personenbezogener Daten. 

Wir beantworten Ihre Fragen:

  • Ist der Techniker, der nur Systeme wartet, dabei aber auch Daten verarbeiten muss, bei der Berechnung einzubeziehen, auch wenn er keinen Zugriff auf Patienten- oder Mitarbeiterdaten nimmt?

Auf den ersten Blick einfach zu beantworten: Einzelpraxis, Berufsausübungsgemeinschaft, wohl auch das MVZ. Aber was ist mit der Zweigpraxis, der Praxisgemeinschaft oder der Gerätegemeinschaft? Müssen hier jeweils einheitliche Maßnahmen ergriffen werden?

Sie sehen, schon die Beantwortung dieser auf den ersten Blick einfachen Eingangsfrage, kann Sie ins Strudeln bringen. Wir helfen Ihnen – wie bei allen anderen Anforderungen auch – bei der sicheren Einordnung, damit Sie nicht zu wenige, aber eben auch nicht zu viele Maßnahmen ergreifen. Sie können sich weiter auf Ihre eigentliche Behandlungstätigkeit konzentrieren und die Umsetzung der IT-Sicherheitsrichtlinie an Ihre Mitarbeiter und Berater delegieren. Wir sorgen für klare und verständliche Umsetzungsempfehlungen und unterstützen Sie bei der erforderlichen Dokumentation.

Die Richtlinienvorgaben sind für jeden Vertrags(zahn)arzt verbindlich (§ 75b Abs. 4 SGB V). Auch der angestellte Vertrags(zahn)arzt muss daher die Richtlinienanforderungen beachten. 

Wir beantworten Ihre Fragen:

  • Wie weit reicht diese Verpflichtung und kann ich mich darauf verlassen, dass der Praxisinhaber hier schon alles richtig machen wird? 
  • Wie schütze ich mich umgekehrt als Praxisinhaber davor, mit jedem angestellten (Zahn-)Arzt über die Anforderungen und deren Reichweite diskutieren zu müssen? 


Unsere Lösung:

  • Wir helfen Ihnen mit einer zielgerichteten und rechtskonformen Best Practice Lösung.

Ja. Die IT-Sicherheitsrichtlinie stellt Anforderungen an den Betrieb vertrags(zahn)ärztlicher Praxen im Sinne des Art. 32 DSGVO (Sicherheit der Verarbeitung) auf und normiert insoweit den „Stand der Technik“ im Sinne dieser Norm. Aus diesem Grund steht zu erwarten, dass die Anforderungen (durch die Hintertür) in weiten Teilen auch den Privatarzt treffen werden.

Wir beantworten Ihre Fragen:

  • Worin unterscheiden sich die privat- und die vertragsärztliche Praxis in diesem Punkt genau? 
  • Welche Anforderungen der IT-Sicherheitsrichtline sollten auch in der privatärztlichen Praxis erfüllt werden und welche kann ich getrost unbeachtet lassen?


Unsere Lösung:

  • Lassen Sie sich auch in diesem Punkt von erfahrenen Beratern unterstützen und bauen Sie auf geprüfte Standards und Best Practices.

Beide Bestimmungen zeigen durchaus Überschneidungen, sind aber sicherlich nicht identisch. Die IT-Sicherheitsrichtlinie regelt die Datenverarbeitung allgemein und beschränkt sich – anders als das Datenschutzrecht – nicht auf die Verarbeitung personenbezogener Daten. Die Datensicherheit soll also allgemein und nicht nur dann erhöht werden, wenn Patienten hiervon betroffen sein können. Die IT-Sicherheitsrichtlinie fordert daher zuweilen mehr als das Datenschutzrecht. Sie fordert, dies ist entscheidend, aber auch oft augenscheinlich genau das Gegenteil, von dem was nach DSGVO von Ihnen erwartet wird.

Bereits jetzt steht fest, viele Vorgaben der IT-Sicherheitsrichtlinie sind unklar, unsauber oder missverständlich formuliert und daher interpretationsbedürftig. Unsere Fachexperten haben die Interpretation für Sie vollzogen und können ihnen daher praxisgerechte und vor allem praxistaugliche Lösungsvorschläge unterbreiten. Sie können sich weiter auf Ihre ärztliche Tätigkeit konzentrieren und müssen auch keine wertvollen Mitarbeiterkapazitäten auf die Interpretation verwenden. Konzentrieren Sie sich auf die Umsetzung des Erforderlichen und verschwenden Sie keine Zeit darauf, erstmal festzustellen, was genau erforderlich ist!

§ 38 BDSG sieht Erleichterungen bei der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten vor und fordert dessen Bestellung grundsätzlich erst ab der „Beschäftigung“ von mindestens 20 Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben, verpflichtend ein. Die mittlere Praxis liegt mit 6-20 Personen also unterhalb dieser Schwelle. Ein betrieblicher Datenschutzbeauftragter kann – dies soll hier nicht in Abrede gestellt werden – auch für diese Praxen durchaus sinnvoll sein, seine Bestellung wird durch die IT-Sicherheitsrichtlinie indes nicht verbindlich. Doch wer, wenn nicht der DSB hilft mir dann bei der Umsetzung?

Die IT-Sicherheitsrichtlinie sieht in Anlage 1 Nr. 1-4 besondere Anforderungen an die Sicherheit mobiler Anwendungen (Apps) vor. In den Nummern 19-27 finden sich weitere Bestimmungen zu Smartphone und Tablet sowie Mobiltelefonen. Auch diese können Auswirkungen auf die App-Nutzung haben. Auch in Anlage 2 Nr. 1 findet sich eine Anforderung an mobile Anwendungen (Apps). Nach Ziffer 3 Anlage 1 dürfen nur Apps genutzt werden, die Dokumente verschlüsselt und lokal abspeichern. 

Wir beantworten Ihre Fragen:

  • Darf ich in meiner Praxis Cloud Speicher Dienste benutzen? 
  • Wenn ja unter welchen Voraussetzungen? 
  • Erfüllen meine Apps die Anforderungen? Wonach muss ich konkret fragen und wann wird der Einsatz gefährlich?

Viele Anforderungen der IT-Sicherheitsrichtlinie können Sie nicht allein erfüllen; Sie brauchen hierfür auch Ihre Mitarbeiter. Wie holen Sie diese ins Boot und welche Möglichkeiten und vielleicht sogar Verpflichtungen bestehen, um die Umsetzung der Richtlinienanforderungen auf Mitarbeiterebene sicherzustellen ohne den Praxisbetrieb zu behindern? 

Unsere Lösung:

  • Nutzen Sie unsere Best Practice Empfehlungen, Lehrinhalte und Arbeitsanweisungen.